Это команда pdbtool, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
pdbtool - приложение для тестирования и преобразования правил базы данных шаблонов syslog-ng
СИНТАКСИС
pdbtool [команда] [параметры]
ОПИСАНИЕ
Эта страница справочника является лишь абстрактной; для полной документации syslog-ng и
pdbtool, см. The Syslog-нг Администратора Guide[1].
Приложение syslog-ng может сопоставить содержимое сообщений журнала с базой данных
предопределенные шаблоны сообщений (также называемые patterndb). Сравнивая сообщения с
известные шаблоны, syslog-ng может определить точный тип сообщений, пометить
сообщения и отсортируйте их по классам сообщений. Классы сообщений могут использоваться для классификации
тип события, описанного в сообщении журнала. Функциональность выкройки
база данных похожа на проект logcheck, но подход syslog-ng работает быстрее,
лучше масштабируется, и его намного проще поддерживать по сравнению с регулярными выражениями
логчек.
The pdbtool application - это утилита, которую можно использовать для:
· Шаблоны тестовых сообщений;
· Преобразовать старую базу данных шаблонов в новейший формат базы данных;
· Объединить базы данных шаблонов в один файл;
· Дамп дерева RADIX, построенного из базы данных шаблонов (или ее части), чтобы изучить, как
сопоставление с образцом работает.
DUMP КОМАНДА
дамп [опции]
Отобразите дерево RADIX, построенное из шаблонов. Это показывает, как шаблоны
представлен в syslog-ng, и это также может помочь отследить проблемы сопоставления с образцом.
Утилита дампа может вывести дерево, используемое для сопоставления частей PROGRAM или MSG.
--pdb or -p
Имя используемого файла базы данных шаблонов.
--программа or -P
Отображает дерево RADIX, построенное из паттернов, принадлежащих $ ПРОГРАММА Приложение.
--программное дерево or -T
Отобразить $ ПРОГРАММА дерево.
Пример и образец вывода:
дамп pdbtool -p patterndb.xml -P 'sshd'
'п'
'assword for'
@QSTRING: @
'из'
@QSTRING: @
'порт'
@NUMBER:@ rule_id='fc49054e-75fd-11dd-9bba-001e6806451b'
' ssh' rule_id='fc55cf86-75fd-11dd-9bba-001e6806451b'
'2' rule_id='fc4b7982-75fd-11dd-9bba-001e6806451b'
'ublickey для'
@QSTRING: @
'из'
@QSTRING: @
'порт'
@NUMBER:@ rule_id='fc4d377c-75fd-11dd-9bba-001e6806451b'
' ssh' rule_id='fc5441ac-75fd-11dd-9bba-001e6806451b'
'2' rule_id='fc44a9fe-75fd-11dd-9bba-001e6806451b'
МАТЧ КОМАНДА
совпадение [опции]
Использовать совпадение команда для проверки правил в базе данных шаблонов. Команда пытается сопоставить
указанное сообщение против шаблонов базы данных, оценивает синтаксические анализаторы
шаблон, а также показывает, какая часть сообщения была успешно проанализирована. Команда
возвращается с 0 (успех) или 1 (нет совпадения) код возврата и отображает следующее
информация:
· Класс, присвоенный сообщению (то есть системный, нарушение и т. Д.),
· Идентификатор правила, соответствующего сообщению, и
· Значения парсеров (если в подходящем шаблоне были парсеры).
The совпадение команда имеет следующие параметры:
- цветовой or -c
Раскрасьте вывод терминала, чтобы выделить часть сообщения, которое было успешно выполнено.
разобраны.
--debug-csv or -C
Распечатайте отладочную информацию, возвращаемую --debug-шаблон вариант как
значения, разделенные запятыми.
--debug-шаблон or -D
Распечатать отладочную информацию о сопоставлении с образцом. Также --debug-csv
опцию.
--file = or -f
Обработайте сообщения указанного файла журнала с помощью базы данных шаблонов. Этот вариант
позволяет классифицировать сообщения в автономном режиме и применять базу данных шаблонов к уже
существующие файлы журналов. Чтобы читать сообщения со стандартного ввода (stdin), укажите
дефис (-) вместо имени файла.
--filter = or -F
Печатать только сообщения, соответствующие указанному выражению фильтра syslog-ng.
--сообщение or -M
Текст сообщения журнала для сопоставления (только $ СООБЩЕНИЕ часть без системного журнала
заголовки).
--pdb or -p
Имя используемого файла базы данных шаблонов.
--программа or -P
Название программы для использования, как указано в $ ПРОГРАММА часть сообщения системного журнала.
--template = or -T
Выражение шаблона syslog-ng, которое используется для форматирования выходных сообщений.
Пример: следующая команда проверяет, распознает ли файл patterndb.xml Принятый
ОткрытыйКлюч для мой пользователь от 127.0.0.1 порт 59357 ssh2 сообщение:
pdbtool match -p patterndb.xml -P sshd -M "Принятый публичный ключ для myuser из 127.0.0.1 порта 59357 ssh2"
В следующем примере файл базы данных шаблонов sshd.pdb применяется к сообщениям журнала.
хранится в файле / var / log / messages, и отображает только сообщения, получившие
пользовательаккт тег.
соответствие pdbtool -p sshd.pdb \
–File / var / log / messages \
–Filter 'теги («usracct»);'
MERGE КОМАНДА
слияние [опции]
Использовать слияние команда для объединения отдельных файлов базы данных шаблонов в один файл
(базы данных шаблонов обычно хранятся в отдельных файлах для каждого приложения, чтобы упростить
поддержание). Если файл использует более старый формат базы данных, он автоматически обновляется до
последний формат (V3). Увидеть The Syslog-нг Администратора Guide[1] для получения подробной информации о
разные версии базы данных шаблонов.
- каталог or -D
Каталог, содержащий XML-файлы базы данных шаблонов, которые необходимо объединить.
--glob or -G
Укажите имена файлов, которые нужно объединить, используя шаблон глобуса, например, используя подстановочные знаки. Для
подробности о шаблонах глобусов см. человек земной шар. Этот шаблон применяется только к именам файлов,
а не в именах каталогов.
--pdb or -p
Имя выходного файла базы данных шаблонов.
- рекурсивный or -r
Также объединяйте файлы из подкаталогов.
Пример:
pdbtool merge --recursive --directory / home / me / mypatterns / --pdb /var/lib/syslog-ng/patterndb.xml
В настоящее время невозможно преобразовать файл без слияния, поэтому, если вы хотите только
преобразовать старый файл базы данных шаблонов в последний формат, вы должны скопировать его в
пустой каталог.
УЗОР КОМАНДА
формировать паттерн [опции]
Автоматически создавать базу данных шаблонов из файла журнала, содержащего большое количество журналов
Сообщения. Результирующая база данных шаблонов выводится на стандартный вывод (stdout). В
pdbtool формировать паттерн команда использует метод кластеризации данных для поиска похожих сообщений журнала
и заменяя отличающиеся части на @ESTRING :: @ парсеры. Подробнее о выкройке
базы данных и парсеры сообщений, см. The Syslog-нг Администратора Guide[1]. В
формировать паттерн Команда доступна только в syslog-ng OSE версии 3.2 и новее.
--file = or -f
Файл журнала, содержащий сообщения журнала, из которых создаются шаблоны. Получить журнал
сообщения со стандартного ввода (stdin), используйте -.
--iterate-выбросы or -o
Рекурсивно перебирать строки журнала, чтобы охватить шаблонами столько сообщений журнала, сколько
возможное.
- named-parsers or -n
Количество примеров сообщений журнала для включения в базу данных шаблонов для каждого
шаблон. Значение по умолчанию: 1
--samples =
Включите сгенерированное имя в парсеры, например, .dict.string1, .dict.string2,
и т. д.
--support = or -S
Шаблон добавляется в базу данных выходных шаблонов, если хотя бы указанный процент
сообщений журнала из входного файла журнала соответствуют шаблону. Например, если вход
файл журнала содержит 1000 сообщений журнала и --support = 3.0 вариант, выкройка
создается только в том случае, если шаблон соответствует как минимум 3 процентам сообщений журнала (т. е.
30 сообщений журнала). Если шаблонизация не создает достаточного количества шаблонов, попробуйте уменьшить
значение поддержки.
Значение по умолчанию: 4.0
Пример:
pdbtool patternize --support = 2.5 --file = / var / log / messages
ИСПЫТАНИЕ КОМАНДА
тест [опции]
Использовать тест команда для проверки XML-файла базы данных шаблонов. Обратите внимание, что у вас должен быть
xmlint приложение установлено. В тест команда доступна только в версии syslog-ng OSE
3.2 и позже.
--подтвердить
Проверьте XML-файл базы данных шаблонов.
Пример:
pdbtool test --validate /home/me/mypatterndb.pdb
Используйте pdbtool в Интернете с помощью сервисов onworks.net
